左右滑动交友，5000万用户配对信息竟被泄露？宅客频道某位男同事今天偷摸和宅宅说

你要看的是不是《左右滑动交友，5000万用户配对信息竟被泄露？》？如果是，那就说明你找对了，缘分啊，继续往下看吧。。。

正文开始：

宅客频道某位男同事今天偷摸和宅宅说，他看到一则消息，国外某款火爆的交友软件被曝出了漏洞，五千万用户的配对详情遭泄露。于是他卸载了手机上一些大家都懂的大型交友(交配)软件。

“找不到对象是小事，个人隐私被曝光才是大事。”

虽然觉得这两件都是大事，宅宅还是认同的点点头，然后迅速爬上外网八卦起来。

事件主角就是创办于2012年，活跃用户数已达五千万的交友软件Tinder，“搞事情”的是一家位于以色列的安全公司 Checkmarx，其研究人员发现尽管 Tinder 通过 HTTPS 技术对 APP 内用户资料数据进行了加密，却无法保证用户照片、滑动操作和匹配信息的私密性。

什么意思呢？

就是虽然个人信息那一栏的数据没有被泄露，但你设置的头像照片，以及今天喜欢了多少了小鲜肉或是美女，和谁进行了匹配都会被知道……

Checkmarx 安全研究主管 Erez Yalon 表示这一漏洞被利用后可掌握所有用户在 Tinder 的使用轨迹，甚至是个人性取向等许多私密信息，“我们可以完全模仿用户在他手机看到的画面。”。

具体来说，只要黑客与正在刷交友软件的用户使用同一个WiFi，就能轻易查看用户手机上的每次滑动操作和匹配，甚至还能将自己的照片插入配对排序。（还有这种操作？黑人问号脸）

此处围观群众发出半信半疑的嘘声……

Checkmarx 团队也不是吃素的，“不信？等着瞧。”

于是这票研究人员特地开发了一款名为“TinderDrift”的软件，只要接上其他 Tinder 用户正在使用的 Wi-Fi，就能在电脑上重建用户使用的情境。利用 Tinder 缺少 HTTPS 加密机制这一漏洞，TinderDrift可远程掌握用户浏览了谁的资料、喜欢了谁、与谁匹配的操作。

另外，即便是在加密模式下，对用户行为十分有执念的研究人员也可以通过识别不同操作指令的字节（bytes），判断用户行为。

比如，在 Tinder 向左滑拒绝对象的动作是 278 bytes、向右滑喜欢的动作是 374 bytes，如果双方配对成功的动作是 581 bytes。

万幸的是，黑客利用上述漏洞只能获取用户匹配过程中的信息，匹配之后双方的聊天则无法被获取。（偷偷松了一口气的宅宅……）

Checkmarx 安全团队称其在 2017 年 11 月告知了 Tinder 存在的安全漏洞问题，但截至目前Tinder 仍未修复这项漏洞。

Tinder 的发言人也做出了回应，称其一直在与黑客博弈，网页版的 Tinder 有加入 HTTPS 进行加密保护，而随后也会对手机 App 进行加密。

潜台词是我们知道有漏了，但你也得给我们时间去补啊。

Checkmarx 的建议是不仅要加入HTTPS加密保护，更要修补配对过程的指令漏洞，起码让每条指令字节一致。另外在 Tinder 发布更新版本前，用户也要谨防泄露自己的交友行为。

不过宅宅也咨询了某移动安全研究人员，其表示黑客往往利用这一漏洞进行局域网中间人攻击，但这种攻击的必要条件是两者必须处在同一WiFi环境下，对攻击距离有一定限制，所以不必过于担心。毕竟隔壁住着黑客，这位黑客还对你的交友十分感兴趣的情况也属少见……

而经过宅宅的对比，国内几家交友软件的画风与 Tinder 十分相似，比如某探，某翻，某blu……其是否会出现这种问题呢？

你猜。

参考来源：腾讯科技

戳蓝字查看更多精彩内容

探索篇

▼

暗网【上】| 暗网【下】

草榴社区|程序媛|以图搜图

心脏滴血|撞库攻击|黑客猎人

刷票|人肉|炸群|内鬼

恶性病毒怼天怼地怼对手

真相篇

▼

这是一场针对高级知识分子的裸聊诈骗

打“农药”刷金币：我的队友原来是个机器人

黑客犯罪团伙"隐匿者"被扒皮，竟然是中国人

iPhone充电器可以当监听器？我到某宝试了下

当俄罗斯黑客遇到老虎机发家致富？

一个自动挖掘工具，能找到比核武器更可怕的漏洞

“老婆，开门”，隔壁老王带来的恐惧

无人机越狱? 资深女黑客一怒“打飞机”

自从安了智能门锁，家里闹妖精？

中国安全圈真实薪资曝光

人物篇

▼

道哥：重回阿里的29个月

黑客老王：一个人的黑客史

吴石：站在0和1之间的男人

黑客衰大：45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊：虚拟世界的越狱者

MOSEC：盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

世界上最坚固的门轰塌后，如何再建

这个黑客在体内植入9块芯片后……

更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注

赞赏

长按二维码向我转账

受苹果公司新规定影响，微信 iOS 版的赞赏功能被关闭，可通过二维码转账支持公众号。

你要看的是不是《左右滑动交友，5000万用户配对信息竟被泄露？》？如果是，那就说明你找对了，缘分啊，继续往下看吧。。。

正文开始：